Virus Vote.A

La Peligrosidad varía según el Daño y la Propagación


Peligrosidad			Propagación			Daño

Descripción

Detalles

Solución

Estadísticas

Efectos:

Los efectos de Vote.A son:

Formatea la unidad C:, es decir, borra todo sus contenido.
Cambia la página de inicio de Internet Explorer, para que esta pase a ser la siguiente:
http:// us.f1.yahoofs.com/ users/ da36d538/ bc/ TimeUpdate.exe?bcaVq97ATaW0yAxk
Cuando el usuario afectado accede a esa página, se descarga un fichero (TIMEUPDATE.EXE) que resulta ser un troyano (Trj/PSW.Barrio.50).
Busca ficheros con extensiones HTM y HTML en todas las unidades de disco fijas existentes en el ordenador y las disponibles en la red y los sobreescribe con el siguiente texto:

AmeRiCa ...Few Days WiLL Show You What We Can Do !!! It's Our Turn >>> ZaCkEr is So Sorry For You.

Se conecta a la siguiente página: http://love135.cjb.net
Busca los directorios de instalación de diversos programas antivirus, con el objeto de proceder a su eliminación. En concreto busca y elimina los siguientes directorios:

C:\Program Files\AntiViral Toolkit Pro
C:\eSafe\Protect
C:\Program Files\Command Software\F-PROT95
C:\PC-Cillin 95
C:\PC-Cillin 97
C:\Program Files\Quick Heal
C:\Program Files\FWIN32
C:\Program Files\FindVirus
C:\Toolkit\FindVirus
C:\f-macro
C:\Program Files\McAfee\VirusScan95
C:\Program Files\Norton Antivirus
C:\TBAVW95
C:\VS95

Metodo de infección:

Vote.A crea los siguientes ficheros:

ZACKER.VBS, en el directorio de sistema de Windows. La función de este fichero es borrar todos los ficheros del directorio de Windows.

ZACKER.VBS no es ejecutado directamente por el gusano, sino que se añade al Registro de Windows una entrada para que Windows lo ejecute en cada arranque del sistema (el sistema debe tener instalada la aplicación Windows Scripting Host, para que el fichero pueda ejecutarse).

MIXDALAL.VBS, en el directorio de instalación de Windows. Este fichero busca por todas las unidades fijas de red ficheros cuya extensión sea HTM o HTML. Cuando los encuentra, sustituye su contenido por el siguiente:

AmeRiCa ...Few Days WiLL Show You What We Can Do !!! It's Our Turn >>> ZaCkEr is So Sorry For You.

WTC.EXE. Este fichero es una copia del propio gusano, que él mismo se encarga de enviar por correo electrónico.

Además, Vote.A modifica el fichero AUTOEXEC.BAT, con el fin de borrar todo el contenido de la unidad de disco duro C:, del ordenador afectado.

Por otro lado, Vote.A crea la siguiente entrada en el Registro de Windows:

HKLM\ Software\ Microsoft\ Windows\ CurrentVersion\ Run Norton.Thar C:\ WINDOWS\ SYSTEM\ ZaCker.vbs

Mediante dicha entrada, el virus consigue que se ejecute el fichero ZACKER.VBS en cada arranque del ordenador.

Por último, Vote.A modifica la siguiente entrada del Registro de Windows:

HKEY_CURRENT_USER\ Software\ Microsoft\ InternetExplorer\ Main start Page.

La modificación consiste en que dicha entrada apunte a la dirección http:// us.f1.yahoofs.com / users/ da36d538/ bc/ TimeUpdate.exe?bcaVq97ATaW0yAxk, de forma que esta sea la nueva página de inicio de Internet Explorer.

Metodo de propagación:

Vote.A utiliza principalmente el correo electrónico para difundirse, actuando del siguiente modo:

Llega oculto en un mensaje con las siguientes características:
Asunto:

Fwd: Peace BeTweeN AmeriCa And IsLaM !

Texto:
Hi
iS iT A waR Against AmeriCa Or IsLaM!?
Let's Vote To Live in Peace!
Fichero adjunto:

WTC.EXE
El gusano se activa cuando se ejecuta el fichero adjunto.
Se envía automáticamente a todas las direcciones que encuentra en la Libreta de direcciones de Outlook.